Bluesky Farcaster

76个在CoinMarketCap前端漏油中排出的钱包

加密网络安全公司Coinspect Security表示,它能够重新创建JavaScript注入漏洞,从而通过Lottie Animation JSON文件中的利用来促进CMC Wallet Drainer攻击

76个在CoinMarketCap前端漏油中排出的钱包

CoinMarketCap网站上的安全漏洞使攻击者短暂地在主页上添加了恶意弹出窗口,导致受害者损失了数千美元。

MetAmask团队在周五晚上警告用户不要将钱包连接到CoinMarketCap的网站,因为硬币跟踪器的前端已被妥协以推动钱包排水骗局。

大约一个小时后,CoinMarketCap确认其站点的访问者在提示时不应连接其钱包。

当晚晚些时候,CMC解释说,其主页上的“涂鸦图像”中的漏洞包含一个链接,该链接通过API调用触发了恶意代码,从而为某些用户带来了意外的弹出窗口。”

加密网络安全公司Coinspect Security表示,它能够重新创建JavaScript注入漏洞,从而通过Lottie Animation JSON文件中的利用来促进CMC Wallet Drainer攻击。

来自其他公司的三名网络安全专家在周末向我确认,Coinspect对事件的评估是准确的。

网络安全企业验证实验室的创始人Trey Blalock告诉我,他能够使用Internet Archive的Wayback Machine检索CoinMarketCap的源代码的副本,以检查事件。

布拉洛克谈到CMC的网站时说:“立即引人注目的是大量使用可扩展的矢量图形(.svg)图像。” “ SVG是创建在各种显示大小上看起来很棒的性能网站的绝佳格式,但是最近的安全漏洞使攻击者可以将HTML脚本标记嵌入SVG图像中,这些svg图像中包含URL的网站中包含URL,使他们能够执行一种跨站点拼图的形式。”

Read More